O motivo pelo qual os bancos estão a adotar uma abordagem moderna à cibersegurança: o modelo de Confiança Zero
Hoje em dia, ainda há muitos bancos que dependem de uma abordagem de “castelo e fosso” (também conhecida como “segurança de perímetro”) para proteger os dados contra ataques maliciosos. Assim como os castelos medievais estavam protegidos por muralhas, fossos e portões, os bancos que utilizam a segurança de perímetro investem fortemente no reforço dos respetivos perímetros de rede com firewalls, servidores proxy, potes de mel e outras ferramentas de prevenção de intrusões. A segurança de perímetro protege os pontos de entrada e saída da rede ao verificar os pacotes de dados e a identidade dos utilizadores que entram e saem da rede da organização, e presume que a atividade dentro do perímetro protegido é relativamente segura.
Atualmente, as instituições financeiras mais experientes estão a evoluir para além deste paradigma e a empregar uma abordagem moderna à cibersegurança: o modelo de Confiança Zero. O princípio fundamental de um modelo de Confiança Zero é não confiar em ninguém (interno ou externo) por predefinição e exigir uma verificação rigorosa de cada pessoa ou dispositivo antes de conceder acesso.
Os perímetros do castelo continuam a ser importantes, mas em vez de continuar simplesmente a investir em muralhas mais fortes e em fossos mais amplos, um modelo de Confiança Zero tem uma abordagem mais flexível à gestão do acesso às identidades, dados e dispositivos dentro do metafórico castelo. Assim, se um infiltrado agir de forma maliciosa ou descuidada, ou se os atacantes disfarçados atravessarem as muralhas do castelo, o acesso automático aos dados não é um facto adquirido.
As limitações de uma abordagem de “castelo e fosso”
Quando se trata de proteger a atual propriedade digital empresarial, a abordagem de “castelo e fosso” tem limitações cruciais, porque o aparecimento das ciberameaças alterou o significado de defender e proteger. As grandes organizações, incluindo os bancos, lidam com redes dispersas de dados e aplicações que são acedidas por colaboradores, clientes e parceiros no local ou online. Isto torna mais difícil proteger os perímetros do castelo. Mesmo que o fosso seja eficaz em afastar os inimigos, não beneficia muito os utilizadores com identidades comprometidas ou outras ameaças internas que se escondam dentro das muralhas do castelo.
As práticas abaixo são todas origens de exposição e são comuns em bancos cuja segurança depende de uma abordagem de “castelo e fosso”:
- Um único relatório anual sobre os direitos de acesso dos colaboradores às aplicações.
- Políticas de direitos de acesso ambíguas e inconsistentes que dependem do critério do gestor e de uma governação insuficiente quando ocorrem mudanças de colaboradores.
- Utilização excessiva das contas com privilégios de administrador por parte das equipas de TI.
- Dados de clientes armazenados em múltiplas partilhas de ficheiros e pouco controlo sobre quem tem acesso.
- Confiança excessiva nas palavras-passe para autenticar os utilizadores.
- Falta de classificação de dados e de relatórios para determinar as localizações dos dados.
- Utilização frequente de pens USB para transferir ficheiros que incluem dados altamente confidenciais.
Como um modelo de Confiança Zero capacita os banqueiros e os clientes
As vantagens de uma abordagem de Confiança Zero foram bem documentadas e um número crescente de exemplos do mundo real mostra que esta abordagem poderia ter evitado ciberataques sofisticados. No entanto, hoje em dia ainda há muitos bancos a aderir a práticas que divergem dos princípios de Confiança Zero.
Adotar um modelo de Confiança Zero pode ajudar os bancos a fortalecer a sua postura de segurança, permitindo que possam apoiar com confiança as iniciativas que dão mais flexibilidade aos colaboradores e aos clientes. Por exemplo, os executivos bancários gostariam que os colaboradores que estão no atendimento ao cliente (por exemplo, os gestores de relações e consultores financeiros) saíssem das respetivas secretárias e tivessem reuniões com os clientes fora das instalações do banco. Atualmente, muitas instituições financeiras suportam esta flexibilidade geográfica através de ferramentas analógicas, como impressões em papel ou vistas estáticas dos seus consultores. No entanto, tanto os colaboradores do banco como os clientes esperam uma experiência mais dinâmica através da utilização de dados em tempo real.
No que respeita à segurança, os bancos que dependem de uma abordagem de “castelo e fosso” mostram-se hesitantes em dispersar os dados fora da rede física. Como tal, os respetivos banqueiros e consultores financeiros só podem utilizar os modelos dinâmicos de estratégias de investimento comprovadas e regulamentadas se as respetivas reuniões com os clientes tiverem lugar nas instalações do banco.
Tradicionalmente, tem sido complicado para os banqueiros ou consultores financeiros que estão em viagem partilhar atualizações de modelos em tempo real ou colaborar ativamente com outros banqueiros ou comerciantes, pelo menos sem terem de recorrer a VPNs. No entanto, esta flexibilidade é um fator importante nas decisões de investimento bem fundamentadas e na satisfação do cliente. Um modelo de Confiança Zero permite que um gestor de relações ou um analista tire partido dos conhecimentos dos fornecedores de dados de mercado, sintetize com os seus próprios modelos e trabalhe dinamicamente com diferentes cenários de clientes quando e onde quiser.
Felizmente, vivemos numa era de segurança inteligente, graças à tecnologia da nuvem e à arquitetura de Confiança Zero, que conseguem simplificar e modernizar a segurança e a conformidade dos bancos.
O Microsoft 365 ajuda a transformar a segurança bancária
Com o Microsoft 365, os bancos podem avançar imediatamente para uma segurança de Confiança Zero. Para tal, precisam de implementar três estratégias essenciais:
- Identidade e autenticação – em primeiro lugar, os bancos precisam de se certificar de que os utilizadores são quem dizem ser e conceder acesso de acordo com as respetivas funções. Com o Azure Active Directory (Azure AD), os bancos podem utilizar o início de sessão único (SSO) para permitir que os utilizadores autenticados se liguem a aplicações a partir de qualquer lugar. Assim, permitem que os colaboradores itinerantes tenham acesso aos recursos de forma segura, sem comprometer a sua produtividade.
Os bancos também podem implementar métodos de autenticação fortes, como a Autenticação Multifator (MFA) sem palavra-passe ou de dois fatores, o que pode reduzir o risco de uma falha de segurança em 99,9%. O Microsoft Authenticator suporta notificações push, códigos de acesso monouso e biometria para qualquer aplicação associada ao Azure AD.
Para dispositivos com Windows, os colaboradores do banco podem utilizar o Windows Hello, uma funcionalidade de reconhecimento facial segura e prática para iniciar sessão nos dispositivos. Por último, os bancos podem utilizar o Acesso Condicional do Azure AD para proteger os recursos contra pedidos suspeitos ao aplicar as políticas de acesso apropriadas. O Microsoft Intune e o Azure AD trabalham em conjunto para ajudar a garantir que apenas os dispositivos geridos e compatíveis têm acesso aos serviços do Office 365, incluindo o e-mail e as aplicações no local. Através do Intune, também pode avaliar o estado de conformidade dos dispositivos. A política de acesso condicional é imposta em função do estado de conformidade do dispositivo no momento em que o utilizador tenta aceder aos dados.
Ilustração do acesso condicional.
- Proteção contra ameaças – com o Microsoft 365, os bancos também podem reforçar sua capacidade de proteger, detetar e responder a ataques com a segurança integrada e automatizada da Proteção Contra Ameaças da Microsoft. A proteção contra ameaças tira partido de um dos maiores sinais de ameaça do mundo disponíveis no Grafo de Segurança Inteligente da Microsoft e da automatização avançada com tecnologia da inteligência artificial (IA) para aprimorar a identificação e a resposta a incidentes. Desta forma, permite que as equipas de segurança resolvam as ameaças com precisão, eficiência e rapidez. O centro de segurança do Microsoft 365 fornece um centro e uma área de trabalho especializada para gerir e tirar o máximo partido das soluções de segurança inteligentes do Microsoft 365 no que respeita à gestão de identidades e acesso, proteção contra ameaças, proteção de informações e gestão de segurança.
O centro de segurança do Microsoft 365.
- Proteção de informações – embora a identidade e os dispositivos sejam os principais vetores de vulnerabilidades a ciberataques, os dados continuam a ser o que os cibercriminosos realmente pretendem. Com a Microsoft Information Protection, os bancos podem melhorar a sua proteção de informações confidenciais, independentemente do local em que estas estejam ou para onde vão. O Microsoft 365 permite aos clientes 1) identificar e classificar os próprios dados confidenciais; 2) aplicar políticas de proteção flexíveis; e 3) monitorizar e corrigir dados confidenciais em risco.
Exemplo de um cenário de classificação e proteção.
Simplifique a gestão da segurança com a Confiança Zero
O Microsoft 365 ajuda a simplificar a gestão da segurança numa arquitetura moderna de Confiança Zero e tira partido da visibilidade, escala e inteligência necessárias para combater o cibercrime.
No que toca à forma de proteger o seu “castelo” moderno, um ambiente de Confiança Zero é o ideal para responder às ameaças modernas de cibersegurança. Um ambiente de Confiança Zero exige uma supervisão constante de quem tem acesso ao quê, onde e quando, e se devem sequer ter acesso.
As funcionalidades de segurança e conformidade do Microsoft 365 ajudam as organizações a verificar se está tudo em ordem antes de confiar num utilizador ou dispositivo. O Microsoft 365 também oferece uma solução completa de trabalho em equipa e produtividade. De um modo geral, o Microsoft 365 oferece uma solução abrangente para ajudar os executivos bancários a concentrarem-se nos clientes e na inovação.